La compañía informó haber identificado a un grupo apodado Sowbug que ha estado llevando a cabo ciberataques principalmente dirigidos contra organizaciones en América del Sur y el Sudeste Asiático, centrado en instituciones de política exterior y objetivos diplomáticos.
Noticias

Gobiernos sudamericanos y del Sudeste Asiático target de ciberespionaje: Symantec

Redacción08/11/2017
3 minutos de lectura

La compañía informó haber identificado a un grupo apodado Sowbug que ha estado llevando a cabo ciberataques principalmente dirigidos contra organizaciones en América del Sur y el Sudeste Asiático, centrado en instituciones de política exterior y objetivos diplomáticos.La compañía informó haber identificado a un grupo apodado Sowbug que ha estado llevando a cabo ciberataques principalmente dirigidos contra organizaciones en América del Sur y el Sudeste Asiático, centrado en instituciones de política exterior y objetivos diplomáticos.

Según Symantec, vio la primera evidencia de actividad relacionada con Sowbug con el descubrimiento en marzo de 2017 de un malware nuevo llamado Felismus utilizado contra un objetivo en el Sudeste Asiático. Posteriormente, se identificó más víctimas en ambos lados del Océano Pacífico. Si bien el malware se registró por primera vez en marzo de este año, su asociación con Sowbug era desconocida hasta ahora, explicó la firma. Agregó que ha podido conectar campañas de ataque anteriores, lo que demuestra que el grupo ha estado activo desde principios de 2015 o incluso antes.

Sowbug parece enfocarse en entidades gubernamentales en América del Sur y el Sudeste Asiático y se ha infiltrado en organizaciones en Argentina, Brasil, Ecuador, Perú, Brunei y Malasia. El grupo tiene muchos recursos, es capaz de infiltrarse en múltiples objetivos simultáneamente y a menudo opera fuera de los horarios de trabajo de las oficinas que son el target con el fin de mantener un bajo perfil, abundo la marca.

Intromisiones

Algunas pistas sobre la motivación y los intereses de los atacantes se pueden encontrar en las actividades realizadas después de comprometer a las víctimas. Por ejemplo, en un ataque de 2015 contra un ministerio de relaciones exteriores sudamericano, el grupo parecía estar buscando información específica. La primera evidencia de su intromisión data del 6 de mayo de 2015, pero la actividad pareció haber comenzado en serio el día 12 de mayo. Los atacantes parecían estar interesados en la división del ministerio responsable de las relaciones con la región Asia-Pacífico, por lo que intentaron extraer documentos de Word almacenados en un servidor de archivos perteneciente a esta división al agruparlos en un archivo RAR ejecutando el siguiente comando:

cmd.exe /c c:\windows\rar.exe a -m5 -r -ta20150511000000 -v3072 c:\recycler\[REDACTED].rar «\\[REDACTED]\*.docx» \\[REDACTED]\*.doc.

El desarrollador aseguró que el comando especificó que solo los archivos modificados desde el 11 de mayo 2015 en adelante debían archivarse. Asimismo sugirió que los atacantes pudieron haber extraído el archivo con éxito porque una hora más tarde regresaron, esta vez intentando extraer los documentos modificados a partir del 7 de mayo de 2015. Por lo anterior se concluyó que, o bien no encontraron lo que estaban buscando en la incursión inicial, o bien notaron algo en los documentos que robaron antes que los impulsó a buscar más información.

Los atacantes no se detuvieron allí. El siguiente paso fue enumerar las unidades compartidas remotas y luego intentar acceder a los recursos compartidos remotos pertenecientes a la oficina gubernamental específica a la que apuntaban, una vez más intentando extraer todos los documentos de Word. En este caso, buscaron cualquier documento modificado a partir del 9 de mayo. Los atacantes entonces parecieron ampliar su interés, enumerando los contenidos de varios directorios en acciones remotas, incluso uno que pertenece a otra división del Ministerio de Asuntos Exteriores Sudamericano, este responsable de las relaciones con organizaciones internacionales. También desplegaron dos cargas útiles desconocidas en el servidor infectado. En total, los atacantes mantuvieron una presencia en la red del objetivo durante cuatro meses entre mayo y septiembre de 2015, de acuerdo con la empresa en seguridad.

Recorrido de la red: mantener un perfil bajo

Sowbug con frecuencia mantiene una presencia a largo plazo en las redes de organizaciones específicas, algunas veces permaneciendo dentro del dispositivo de las víctimas hasta por seis meses. Una de las tácticas que utiliza para evitar llamar la atención es hacerse pasar por los paquetes de software comúnmente utilizados, como Windows o Adobe Reader. Nunca ha intentado comprometer el software en sí. Más bien, les da a sus herramientas nombres de archivo similares a los utilizados por el software y los coloca en el árbol de directorios que podrían confundirse con los utilizados por el software legítimo. Esto permite que los atacantes puedan esconderse a plena vista, ya que es poco probable que su aparición en las listas de procesos despierte sospechas.

[email protected]

Etiquetas
Redacción08/11/2017
3 minutos de lectura

Publicaciones relacionadas

Avanza la MEXDC en la consolidación de la industria de centros de datos en México

18/04/2024

Pay Later, un servicio a la medida de los retos del ecommerce

18/04/2024

Designa Intcomex México directora de Producto Broadline

16/04/2024

Julio Castrejón es nombrado Country Manager en México de Nutanix

15/04/2024
Mira también
Cerrar
Botón volver arriba
Share via
Facebook
X (Twitter)
LinkedIn
Mix
Email
Print
Copy Link
Powered by Social Snap
Copy link
CopyCopied
Powered by Social Snap